Jump to Navigation | Search | Content area | Page footer

Compliance - Definition und Einhaltung klarer Regeln

Compliance heißt zunächst ganz lapidar "Erfüllung".


Gemeint ist - im Sinne der SOX-Debatte - Erfüllung der rechtlichen, organisatorischen und institutionellen Anforderungen. Dabei ist es im Sinne von SOX entscheidend, nachzuweisen, wie z. B. eine Bilanz zustande kam und nicht so sehr ob die Bilanz positiv oder negativ ist.


Nun werden die vitalen Prozesse eines Unternehmens in zunehmendem Maße mit der Informationstechnologie (IT) abgebildet. Damit rückt die IT unmittelbar in den Fokus der Wirtschaftsprüfer. Die ISACA hat mit CobiT ein Modell publiziert, das ein generisches Prüf- und Kontrollmodell darstellt. Damit ist es prinzipiell möglich, einen Nachweis z. B. der Ordnungsmäßigkeit des Betriebs eines SAP-System nachzuweisen.

Für ein Unternehmen bedeutet das generische Prüfmodell, dass es für sich und seine vitalen Prozesse Kontrollen einbauen muss, mit denen dann ein Nachweis z. B. der Ordnungsmäßigkeit zu führen ist.

Die Kunst besteht nun darin, im Sinne einer Kosten/Nutzenbetrachtung, geeignete Kontrollgrößen zu finden. Außerdem müssen diese Kontrollgrößen einer Überwachung unterliegen.  Es gehört einige Erfahrung und die Sichtweise der Wirtschaftsprüfer dazu, um geeignete und zielgerichtete Kontrollgrößen zu finden.

Zum anderen ist ein geeignetes Management- und Kontrollsystem zu implementieren, das diese Größen möglichst in einer automatisierten Form überwacht. Die Forderung nach einer automatisierten Überwachung zielt auf ein geeignetes Tool ab. Doch diese sind bisher rar gesät.


Es liegt jedoch auf der Hand, dass Compliance Forderungen nur aus einem Zusammenspiel von organisatorischen, prozessorientierten und technischen Aspekten zu lösen sind. Ein ideales Instrument hierzu ist ein ISMS.

ISMS – Fundament für zielgerichtetes Risikomanagement

Das Managementsystem für Informationssicherheit (Information Security Management System, ISMS) ist ein System von Verfahren und Regeln eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren.


Als Schutzziele werden die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen adressiert. Im Kern handelt es sich um einen risikoorientierten Ansatz, der die Risiken der Wertschöpfungskette eines Unternehmens in den Fokus rückt. Dabei wird deutlich, dass Sicherheitsmanagement nach ISO27001 einem Risikomanagement entspricht und ein Risikomanagement ein Kostenmanagement ermöglicht.


Als anerkannte Methode zum Sicherheitsmanagement und Risikomanagement gilt die internationale Norm  ISO/IEC 27001:2005. Mittels dieser Norm ist es möglich, nicht technische (organisatorische, personelle) als auch technische und physische Risiken (overall business risks) in einem Managementsystem zu behandeln.

Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2005 und die Umsetzung im Rahmen des PDCA-Zyklus bilden das Kernstück des Risikomanagements.

Risikomanagement ist das Herzstück eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001.

Durch die Abbildung der Wertschöpfungskette in die IT spielt die IT eine zentrale Rolle in fast jedem Unternehmen. Oftmals werden die damit verbundenen Risiken auch als operationelle Risiken betitelt, wie z.B. in Basel II.

Hilfreich ist in diesem Zusammenhang für den Wirtschaftsprüfer und sein zu erstellendes Testat am Jahresende, wenn eine Zertifizierung des ISMS nach ISO/IEC 27001:2005 bereits vorliegt.


Unsere Leistungen - Ihr Gewinn

  • Wir betrachten ihre Wertschöpfungskette und finden geeignete Kontroll- und Messgrößen
  • Wir Implementieren ein ISMS auf Basis von ISO/IEC 27001:2005
  • Wir installieren ein Risikomanagementsystem
  • Wir entwickeln geeignete Sox-konforme Kontrollgrößen
  • Wir automatisieren die Erstellung der notwendigen Sox-Reports auch gemäß der Anforderungen nach SAS 70 Typ I und Typ II
  • Wir begleiten Sie bei der Auditierung und Zertifizierung ihres ISMS oder SOX-Controls


Kommen Sie doch ruhig mal ein Stück näher und sprechen Sie mit unseren auditerprobten und zertifizierter Lead-Auditoren. Auch für Compliance Automation halten wir Lösungen für Sie bereit.


Rufen Sie uns einfach oder verwenden unser Kontaktformular

 
Additional Information